1 år med GDPR: Så blev de tuffa datareglerna – egentligen

En och annan marknads- och IT-chef fick säkerligen förhöjd puls när klockan närmade sig midnatt natten till den 25:e maj 2018. Det var då det omtalade europeiska dataskyddsdirektivet GDPR slutligen trädde i kraft, efter månader av samtyckes-mejlbombning från allsköns företag som vi någon gång lämnat vår e-postadress till.

Och att den nya lagen inte skulle bli någon lek hade vi gjorts smärtsamt medvetna om; den som slarvade med skyddet av personuppgifter kunde avkrävas rekordhöga böter av EU:s kontrollmyndighet. Svindlande 20 miljoner euro eller 4 procent av företagets årsomsättning, beroende på vilket som är högst, skulle kunna bli straffet för den som inte vidtagit tillräckliga åtgärder.

Handen på hjärtat var nog många av oss ganska osäkra på vad den nya dataskyddslagen skulle kunna komma att innebära, ända in i det sista. Måste vi radera alla våra mejl? Bränna alla visitkort? Skulle vi överhuvudtaget få lov att kommunicera med våra kunder? I Sverige var vi tack vare den tidigare personuppgiftslagen PuL kanske bättre förberedda än i vissa andra EU-länder – men eftersom PuL inte alltid följts till punkt och pricka hade många organisationer ändå en stor omställning att göra.

Nu när lagen har funnits på plats i ett år kan vi börja se vilka effekter den har haft. EU:s dataskyddsstyrelse EDPB uppger i en rapport att det under lagens första nio månader har rapporterats in drygt 200 000 överträdelser. Majoriteten av dessa fall, cirka 95 000, är baserade på klagomål medan cirka 65 000 fall initierats på den personuppgiftsansvariges eget initiativ under den rapporteringsplikt inom 72 timmar som råder vid ett upptäckt dataintrång.

GDPR kan betraktas som en succé när det gäller just självrapporteringen av dataintrång, där antalet registrerade fall har fördubblats. Tidigare har lagstiftningen skiljt sig kraftigt åt mellan EU-länder, både vad gäller hur och till vem ett dataintrång ska rapporteras och vad som räknats som persondata. GDPR och de kontrollorgan som instiftats i de respektive medlemsländerna har gjort rapporteringen enhetlig. Nederländerna, Irland och Danmark toppar listan över antal rapporterade intrång i förhållande till folkmängden, enligt en rapport från juristbyrån DLA Piper.

Där lagen och EDPB har lyckats mindre väl såhär långt är att straffa de företag som brutit mot lagkraven. Hittills har närmare 56 miljoner euro i böter utdömts, vilket förstås låter som en ansenlig summa. Men 90 procent av bötesbeloppet utgörs av en enda dom – mot Google, som i januari 2019 fick böta 50 miljoner euro för brister i sina samtyckesavtal och i användarnas möjligheter att kontrollera sin data. Summan motsvarar 0,04 procent av Googles vinst 2018, och nätjätten kan därmed betraktas ha kommit billigt undan.

Även om bötesstraffen hittills har varit få kan vi ha fler att vänta i framtiden. Mathias Moulin, aktiv vid det franska kontrollorganet CNIL som ligger bakom domen mot Google, meddelade vid ett panelsamtal tidigare i år att lagens första år är att betrakta som en övergångsperiod då de nationella kontrollmyndigheterna har haft fullt upp med att etablera sina arbetssätt. Det kan med andra ord mycket väl bli så att efterlevnaden bevakas mer noggrant under kommande år.